روش اول با مانیتور کردن API های ویندوز هست. موتور تشخیص، فراخوانی‌های اپلیکیشن‌های ویندوز رو بررسی می‌کنه و با استفاده از Windows Hooks، فراخوانی‌های API ویندوز رو مانیتور می‌کنه.

روش دیگه برای تشخیص دینامیک، سندباکس هست. سندباکس یه محیط مجازی هست که برای اجرای فایل‌های مخرب جدا از کامپیوتر میزبان استفاده میشه. این کار معمولا در یه محیط ایزوله انجام میشه و هدف اصلیش تحلیل نحوه عمل نرم‌افزار مخرب در سیستم هست. وقتی نرم‌افزار مخرب تایید شد، یه امضای منحصر به فرد و یه قانون بر اساس ویژگی‌های باینری ایجاد میشه. در نهایت، یه آپدیت جدید برای استفاده‌های آینده به دیتابیس ابری ارسال میشه.

این نوع تشخیص هم معایبی داره چون نیاز داره نرم‌افزار مخرب رو برای مدت محدودی در محیط مجازی اجرا کنه تا منابع سیستم محافظت بشه. مثل تکنیک‌های تشخیص دیگه، تشخیص دینامیک هم قابل دور زدن هست. توسعه‌دهندگان بدافزار نرم‌افزارشون رو طوری پیاده‌سازی می‌کنن که توی محیط مجازی یا شبیه‌سازی شده کار نکنه تا از تحلیل دینامیک جلوگیری کنن. مثلا چک می‌کنن که سیستمی که داره بد افزار رو اجرا میکنه SandBox هست یا یک سیستم واقعی و اگر محیط مجازی و ایزوله باشه از ادامه فرآیند خود داری میکنه تا این روش تشخیص رو بایپس کنه .